- Googleは、大規模言語モデル(LLM)補助フレームワークであるBig Sleep(旧称:Project Naptime)を使用して、SQLiteオープンソースデータベースエンジンのゼロデイ脆弱性を発見した。
- この開発は、AIエージェントを使用して発見された「最初の実世界の脆弱性」としてGoogleによって説明された。
- 問題の脆弱性は、SQLiteにおけるスタックバッファのアンダーフローであり、メモリロケーションの前に参照が行われ、クラッシュまたは任意のコード実行が発生する。
- 責任ある開示の後、この欠陥は2024年10月初旬に修正された。また、この欠陥はライブラリの開発ブランチで発見されたことに留意する。
- Big Sleepを使用することで、AIエージェントを活用してセキュリティ脆弱性を特定し、デモンストレーションする際に人間の行動をシミュレートするアイデアが実現される。
- 特化したツールセットを使用して、エージェントが対象のコードベースをナビゲートし、Pythonスクリプトを実行してfuzzingのための入力を生成し、プログラムをデバッグし結果を観察する。
- Googleは、「この作業には非常に大きな防御的ポテンシャルがあると考えています。リリース前にソフトウェアの脆弱性を見つけることは、攻撃者が競争する余地がないということを意味します。脆弱性は攻撃者がそれらを使用する前に修正される」と述べている。
私の考え:
GoogleのBig Sleepプロジェクトは、AIを活用してセキュリティの脆弱性を発見し、修正するという革新的なアプローチを提供しています。この技術は、未来のサイバーセキュリティにおいて重要な役割を果たす可能性があります。ただし、実験的な結果であることを強調しつつ、より効果的な脆弱性発見ツールの開発に向けて進化していくことが重要であると考えられます。
元記事: https://thehackernews.com/2024/11/googles-ai-tool-big-sleep-finds-zero.html